Encore deux Zero Day dans l'air... dans Powerpoint et I.E.
Encore une faille affectant un logiciel Microsoft, encore un trou de sécurité touchant Powerpoint. On est très loin du danger des exploits VML de la semaine passée, d'autant que l'information n'est confirmée que par une seule et unique source : McAfee. Et Microsoft bien entendu. Car, comme le fait remarquer Craig Schmugar, auteur de l'alerte, cela fait déjà 4 jours pleins que l'antivirus de Microsoft est capable de réagir contre ce ZDE. Ses possesseurs sont donc protégés. Pour les autres, Vae Victis. Ils demeureront dans l'ignorance et s'offriront, la prochaine fois, un meilleur logiciel de filtrage. On se demande dans quelle mesure le fait de connaître l'existence d'une menace et de n'en publier aucune information -ou du moins pas de manière publique- n'est pas un acte sciemment étudié pour gagner des points sur la concurrence. Du coup, chez McAfee, ou l'on pratique généralement la « langue de bois » et la religion du secret, on en viendrait presque à chanter les louanges du Full Disclosure. Un autre trou critique, un autre ZDE mais affectant cette fois I.E., a été signalé par H.D. Moore sur son blog Browser Fun. Microsoft confirme le problème. Cette fois encore, il s'agit d'un contrôle activeX corruptible (overflow sur la méthode setSlice() explique l'équipe de Moore).
